Udostępnij za pośrednictwem

  • Artykuł

Przykładowy scenariusz chroniące przed złośliwym oprogramowaniem komputerów konfigurując Endpoint Protection w programie Configuration Manager

 

Dotyczy: System Center 2012 R2 Endpoint Protection, System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 Endpoint Protection SP1, System Center 2012 Endpoint Protection, System Center 2012 R2 Configuration Manager SP1

Ten temat zawiera przykładowy scenariusz jak można zaimplementować Endpoint Protection w Microsoft System Center 2012 Configuration Manager do ochrony przed atakami złośliwego oprogramowania komputerów w organizacji.

Jan Menedżer konfiguracji administratora na Woodgrove Bank. Bank obecnie używa programu Microsoft Forefront Endpoint Protection 2010 do ochrony komputera przed atakami złośliwego oprogramowania. Ponadto bank korzysta z zasadami grup systemu Windows, aby upewnić się, że Zapora systemu Windows jest włączona na wszystkich komputerach w firmie i powiadamiania użytkowników, gdy Zapora systemu Windows zablokuje nowy program.

John został poproszony o uaktualnić oprogramowanie ochrony przed złośliwym oprogramowaniem Woodgrove Bank do Ochrona punktu końcowego programu System Center 2012 Tak, aby bank mogą korzystać z najnowszych funkcji ochrony przed złośliwym oprogramowaniem i centralnie zarządzać rozwiązania ochrony przed złośliwym oprogramowaniem z Menedżer konfiguracji konsoli. Ta implementacja ma następujące wymagania:

  • Użyj Menedżer konfiguracji do zarządzania ustawieniami Zapory systemu Windows, które jest obecnie zarządzany przez zasady grupy.

  • Użyj Menedżer konfiguracji aktualizacje oprogramowania, aby pobrać aktualizacje definicji złośliwego oprogramowania na komputerach. Jeśli aktualizacje oprogramowania nie są dostępne, na przykład, jeśli komputer nie jest połączony z siecią firmową, komputery, należy pobrać aktualizacje definicji z witryny Microsoft Update.

  • Komputerów musi przeprowadzaniu skanowania w poszukiwaniu złośliwego oprogramowania szybkie codziennie. Serwery, jednak uruchomić skanowanie pełne co sobota, poza godziny pracy, 1 o godzinie

  • Wyślij e-mail alertu po zmianie któregokolwiek z następujących zdarzeń:

    • Wykryto złośliwe oprogramowanie na dowolnym komputerze

    • Samą zagrożenie złośliwego oprogramowania wykrytego na więcej niż 5 procent komputerów

    • Samą zagrożenie złośliwego oprogramowania wykrytego więcej niż 5 razy w dowolnym okresie 24 godzin

    • Wykryto więcej niż 3 różnych typów złośliwego oprogramowania w dowolnym okresie 24 godzin

  • Odinstaluj istniejącego rozwiązania ochrony przed złośliwym oprogramowaniem.

John wykonywać następujące kroki, aby zaimplementować Ochrona punktu końcowego:

Kroki w celu wdrożenia programu Endpoint Protection

Proces

Tematy pomocy

Dostępne informacje dotyczące podstawowe zagadnienia dotyczące przeglądów John Ochrona punktu końcowego w Menedżer konfiguracji.

Informacje o Ochrona punktu końcowego, zobacz Wprowadzenie do programu Endpoint Protection w programie Configuration Manager.

John monitoruje i implementuje wymagane warunków wstępnych, aby użyć Ochrona punktu końcowego.

Aby uzyskać informacje o wymaganiach wstępnych Ochrona punktu końcowego, zobacz Konfigurowanie wymagań wstępnych dotyczących ochrony punktu końcowego w programie Configuration Manager.

Instaluje John Ochrona punktu końcowego lokacji rolę systemu lokacji jeden system tylko na serwerze, u góry hierarchii Woodgrove Bank.

Aby uzyskać więcej informacji dotyczących sposobu instalowania Ochrona punktu końcowego rolę systemu lokacji, zobacz Krok 1: Tworzenie rolę systemu lokacji punktu ochrony punktu końcowego w sekcji Konfigurowanie ochrony punktu końcowego w programie Configuration Manager tematu.

Konfiguruje John Menedżer konfiguracji do użycia serwera SMTP do wysyłania wiadomości e-mail dla alertów.

Uwaga

Należy skonfigurować serwer SMTP tylko wtedy, gdy chcesz otrzymywać powiadomienia przez e-mail, gdy Ochrona punktu końcowego generowany jest alert.

Aby uzyskać więcej informacji, zobacz Konfigurowanie alertów dla programu Endpoint Protection w programie Configuration Manager.

Uwaga

Ustawienia powiadomień e-mail zależą od Menedżer konfiguracji z dodatkiem SP1 i Menedżer konfiguracji bez dodatku service pack.

John tworzy kolekcję urządzenia, która zawiera wszystkie komputery i serwery, aby zainstalować Ochrona punktu końcowego klienta. On nazwy tej kolekcji Wszystkie komputery chronione przez Ochrona punktu końcowego.

System_CAPS_tipPorada

Nie można skonfigurować alertów dla kolekcji użytkowników.

Aby uzyskać więcej informacji dotyczących sposobu tworzenia kolekcji zobacz Tworzenie kolekcji w programie Configuration Manager

Określa on następujące alerty dla kolekcji:

  • Wykryto złośliwe oprogramowanie: Jan służy do konfigurowania alertów ważności Krytyczny.

  • Wykryto ten sam typ złośliwego oprogramowania na liczbie komputerów : Jan służy do konfigurowania alertów ważności Krytyczny i umożliwia określenie, czy alert zostanie wygenerowany, gdy więcej niż 5 procent komputerów wykryto złośliwe oprogramowanie.

  • Tej samej złośliwego oprogramowania są ponownie wykrywane w określonym interwale na komputerze: Jan służy do konfigurowania alertów ważności Krytyczny i umożliwia określenie, czy alert zostanie wygenerowany, jeśli wykryto więcej niż 5 razy złośliwe oprogramowanie w okresie 24 godzin.

  • Wiele typów złośliwego oprogramowania są wykrywane na tym samym komputerze w określonym interwale: Jan służy do konfigurowania alertów ważności Krytyczny i umożliwia określenie, czy alert zostanie wygenerowany, gdy więcej niż 3 typów złośliwego oprogramowania są generowane w okresie 24 godzin.

Uwaga

Wartość dla ważności alertu wskazuje poziom alertu, która będzie wyświetlana w Menedżer konfiguracji konsoli i alerty, które otrzymuje w wiadomości e-mail.

Ponadto zaznacza opcję wyświetlania na pulpicie nawigacyjnym programu Endpoint Protection tej kolekcji aby mógł on monitorować alertów w Menedżer konfiguracji konsoli.

Aby uzyskać więcej informacji, zobacz Konfigurowanie alertów dla programu Endpoint Protection w programie Configuration Manager.

Konfiguruje John Menedżer konfiguracji aktualizacje oprogramowania, aby pobrać i zainstalować aktualizacji definicji trzy razy dziennie przy użyciu regułę automatycznego wdrażania.

System_CAPS_importantWażne

Ta częstotliwość nadaje się do Menedżer konfiguracji z dodatkiem SP1. Jednak ze względu na wydajność w Menedżer konfiguracji bez dodatku service pack nie planowania automatycznego wdrażania reguł, aby dostarczać aktualizacje definicji więcej niż jeden raz dziennie.

Więcej informacji znajduje się w sekcji Za pomocą aktualizacji oprogramowania programu Configuration Manager, aby dostarczać aktualizacje definicji w temacie Jak skonfigurować aktualizacje definicji dla programu Endpoint Protection w programie Configuration Manager.

John sprawdza, czy ustawienia w zasadach ochrony przed złośliwym oprogramowaniem domyślny zawiera ustawienia zabezpieczeń firmy Microsoft. W przypadku komputerów można wykonać szybkie skanowanie codziennie do on zmiany następujących ustawień:

  • Uruchom dzienny szybkiego skanowania na komputerach klienckich: Tak.

  • Dziennego czasu harmonogramu szybkie skanowanie: 9:00 w NOCY.

John uwagi, które aktualizacji rozpowszechniane z witryny Microsoft Update jest wybrany domyślnie jako źródło aktualizacji definicji. Oznacza to spełnienie wymagań biznesowych czy komputery pobrać aktualizacje definicji z witryny Microsoft Update, po odebraniu nie może Menedżer konfiguracji aktualizacji oprogramowania.

Aby uzyskać więcej informacji, zobacz Sposób tworzenia i wdrażania zasad ochrony przed złośliwym oprogramowaniem dla programu Endpoint Protection w programie Configuration Manager.

John tworzy kolekcję zawierającą tylko serwery Woodgrove Bank o nazwie serwerów Bank Woodgrove.

Aby uzyskać więcej informacji dotyczących sposobu tworzenia kolekcji zobacz Tworzenie kolekcji w programie Configuration Manager

John tworzy niestandardowy ochrony przed złośliwym oprogramowaniem zasadę o nazwie Woodgrove Bank serwera zasad. Dodaje ustawienia dla zaplanowane skanowanie i umożliwia wykonanie następujących zmian:

  • Typ skanowania: pełne

  • Dzień skanowania: sobota

  • Czasu skanowania: 1:00:00

  • Uruchom dzienny szybkiego skanowania na komputerach klienckich: nr.

Aby uzyskać więcej informacji, zobacz Sposób tworzenia i wdrażania zasad ochrony przed złośliwym oprogramowaniem dla programu Endpoint Protection w programie Configuration Manager.

John wdraża Woodgrove Bank serwera zasad zasady niestandardowe ochrony przed złośliwym oprogramowaniem, aby serwerów Bank Woodgrove kolekcji.

Więcej informacji znajduje się w sekcji Aby wdrożyć zasady ochrony przed złośliwym oprogramowaniem na komputerach klienckich w temacie Sposób tworzenia i wdrażania zasad ochrony przed złośliwym oprogramowaniem dla programu Endpoint Protection w programie Configuration Manager.

John tworzy nowy zestaw klienta niestandardowe ustawienia urządzenia, Ochrona punktu końcowego i nazwach je Ustawienia programu Endpoint Protection Woodgrove Bank.

System_CAPS_warningOstrzeżenie

Jeśli nie chcesz zainstalować i włączyć Ochrona punktu końcowego na wszystkich klientów w hierarchii, upewnij się, że opcje klienta Zarządzanie Endpoint Protection na komputerach klienckich i klienta zainstaluj program Endpoint Protection na komputerach klienckich jako są skonfigurowane nr w domyślnych ustawień klienta.

Więcej informacji znajduje się w sekcji Krok 5: Konfigurowanie niestandardowych ustawień klienta programu Endpoint Protection w temacie Konfigurowanie ochrony punktu końcowego w programie Configuration Manager.

Określa on następujące ustawienia dla Ochrona punktu końcowego:

  • Klienta Zarządzanie Endpoint Protection na komputerach klienckich: Tak 

    To ustawienie, aby wartość zapewnia, że wszystkie istniejące Ochrona punktu końcowego klienta, który jest zainstalowany staje się zarządzane przez Menedżer konfiguracji.

  • Klienta zainstaluj program Endpoint Protection na komputerach klienckich: Tak.

  • Automatycznie usuń wcześniej zainstalowane ochrony przed złośliwym oprogramowaniem oprogramowania przed zainstalowaniem programu Endpoint Protection: Tak.

    To ustawienie, aby wartość spełnia wymagania biznesowe, którą usunięto istniejące oprogramowanie ochrony przed złośliwym oprogramowaniem przed Ochrona punktu końcowego jest zainstalowany i włączony.

Więcej informacji znajduje się w sekcji Krok 5: Konfigurowanie niestandardowych ustawień klienta programu Endpoint Protection w temacie Konfigurowanie ochrony punktu końcowego w programie Configuration Manager.

John wdraża Ustawienia programu Endpoint Protection Woodgrove Bank ustawień klienta do Wszystkie komputery chronione przez Ochrona punktu końcowego kolekcji.

Więcej informacji znajduje się w sekcji Jak tworzyć i wdrażać ustawienia niestandardowe klientów w temacie Jak skonfigurować ustawienia klienta w programie Configuration Manager.

John Kreatora tworzenia zasady zapory systemu Windows jest używana do utworzenia zasady konfigurując następujące ustawienia profilu domeny:

  • Włącz Zaporę systemu Windows: Tak

  • Powiadamia użytkownika, gdy Zapora systemu Windows zablokuje nowy program: Tak

Aby uzyskać więcej informacji, zobacz Aby utworzyć zasady zapory systemu Windows w sekcji Sposób tworzenia i wdrażania zasady zapory systemu Windows dla programu Endpoint Protection w programie Configuration Manager

John wdraża nowych zasad zapory do kolekcji Wszystkie komputery chronione przez Ochrona punktu końcowego on wcześniej utworzony przez.

Aby uzyskać więcej informacji, zobacz Aby wdrożyć zasady zapory systemu Windows w sekcji Sposób tworzenia i wdrażania zasady zapory systemu Windows dla programu Endpoint Protection w programie Configuration Manager

John używa zadania zarządzania dostępnych dla Ochrona punktu końcowego do zarządzania ochrony przed złośliwym oprogramowaniem i zasady zapory systemu Windows, należy wykonać na żądanie skanowania komputerów, gdy jest to konieczne, komputery z można pobrać najnowsze aktualizacje definicji, aby określić wszystkie dalsze akcje do podjęcia, gdy wykryto złośliwe oprogramowanie, że należy wymuszać.

Aby uzyskać więcej informacji na temat Ochrona punktu końcowego zadań zarządzania, zobacz Jak zarządzać ochrony przed złośliwym oprogramowaniem zasady i ustawienia zapory Endpoint Protection w programie Configuration Manager.

John następujących metod jest używana do monitorowania stanu Ochrona punktu końcowego i akcji, które są wykonywane przez Ochrona punktu końcowego:

  • Przy użyciu stanu ochrony punktu końcowego System Center 2012 w węźle Monitorowanie obszar roboczy.

  • Przy użyciu Endpoint Protection w węźle zasoby i zgodność obszar roboczy.

  • Dzięki wbudowanej właściwości Menedżer konfiguracji Raporty.

Aby uzyskać więcej informacji na temat stanu ochrony punktu końcowego System Center 2012 węzła, zobacz Jak Monitor Ochrona punktu końcowego przy użyciu Ochrona punktu końcowego programu System Center 2012 stan węzła w sekcji Monitorowanie Endpoint Protection w programie Configuration Manager tematu.

Aby uzyskać więcej informacji o sposobie monitorowania Ochrona punktu końcowego w zasoby i zgodność obszarów roboczych, zobacz Jak Monitor Ochrona punktu końcowego zasoby i zgodność obszaru roboczego w sekcji Monitorowanie Endpoint Protection w programie Configuration Manager tematu.

Aby uzyskać więcej informacji o sposobie monitorowania Ochrona punktu końcowego przy użyciu raportów, zobacz Jak Monitor Ochrona punktu końcowego przy użyciu raportów w sekcji Monitorowanie Endpoint Protection w programie Configuration Manager tematu.

John raporty pomyślnego wykonania Ochrona punktu końcowego przez menedżera i potwierdza, że komputery, Woodgrove Bank teraz są chronione przed ochrony przed złośliwym oprogramowaniem, zgodnie z wymaganiami firmy, które podano on.